宝塔面板“证书链不完整”根本原因是仅上传域名证书而遗漏中间证书，须用acme.sh生成的fullchain.cer（含域名证+中间证）粘贴至“SSL证书”框，私钥单独填入“私钥(KEY)”框，并配置80端口301跳转及验证Nginx配置。

宝塔面板提示“证书链不完整”或“SSL安装失败”

根本原因不是证书没申请成功，而是宝塔默认只上传了域名证书（fullchain.pem 的前半段），漏掉了中间证书（Intermediate CA）。浏览器校验时无法拼出完整信任链，就判定为无效证书。

常见错误现象：NET::ERR_CERT_AUTHORITY_INVALID、Chrome 显示“此网站使用了无效的安全证书”，但 openssl s_client -connect your.site:443 -servername your.site 却显示 Verify return code: 0 (ok)——这恰恰说明服务端返回的证书链本身有问题，本地 OpenSSL 用了系统缓存补全，而真实用户没有。

手动申请证书后，别直接把 cert.pem 和 privkey.pem 往宝塔里填：它会忽略中间证书

必须用合并后的 fullchain.pem（即 cert.pem + 中间证书内容），不能只用 cert.pem

如果用 acme.sh 申请，--fullchain-file 指向的文件才是宝塔需要的；--cert-file 只是纯域名证书，不能单独用

acme.sh 手动申请时如何生成正确 fullchain.pem

acme.sh 默认生成的 fullchain.cer（注意后缀是 .cer）才是宝塔能识别的完整链。很多人复制了 cert.cer 就出问题。

使用场景：你已停用宝塔自动续签，改用 acme.sh 定期 renew，但每次都要手动更新到宝塔界面。

确认路径：acme.sh 生成的证书通常在 ~/.acme.sh/your.domain/ 下

关键文件是：fullchain.cer（不是 cert.cer）、your.domain.key

如果用 --force 或 --renew 后发现 fullchain.cer 没更新，先运行 acme.sh --issue ... 确保走的是完整流程，而非跳过验证

宝塔后台粘贴证书内容时，直接复制 fullchain.cer 全文（BEGIN CERTIFICATE 到 END CERTIFICATE），私钥粘贴 your.domain.key 全文

宝塔 SSL 配置页面里证书内容粘错位置

面板有两个文本框：“SSL 证书”和“私钥(KEY)”，但很多人把 fullchain.pem 当成“证书”粘进去，却把 privkey.pem 粘进“私钥”——看起来格式对，实则证书链仍断裂。

真正要检查的是：粘完后点“保存”是否报错？不报错≠生效。得用 curl -I https://your.site 看响应头有没有 Strict-Transport-Security，或用 SSL Checker 查“Certificate Chain”是否显示三条（服务器证书 → 中间证书 → 根证书）。

“SSL 证书”框里必须是完整链：即 -----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----

“私钥(KEY)”框里只能是私钥，开头必须是 -----BEGIN PRIVATE KEY----- 或 -----BEGIN RSA PRIVATE KEY-----，不能混入任何证书内容

如果私钥被加密（带 passphrase），宝塔不支持，必须先用 openssl rsa -in encrypted.key -out decrypted.key 解密

重启 Nginx 后 HTTPS 仍不生效的隐蔽原因

证书装对了，Nginx 也 reload 成功，但访问还是 HTTP 跳转失败或提示不安全——大概率是站点配置里没强制 HTTPS，或者 80 端口没做 301 跳转。

性能影响不大，但用户首次访问容易卡在 HTTP 上，搜索引擎也抓不到 HTTPS 页面。

进宝塔“网站”→ 你的站点 → “配置文件”，确认有类似 return 301 https://$host$request_uri; 的 80 端口跳转规则

检查 Nginx 配置中是否同时监听了 listen 443 ssl http2; 和 ssl_certificate、ssl_certificate_key 指向的路径是否真实存在（宝塔有时会写相对路径，如 ssl_certificate /www/wwwroot/your.site/ssl/fullchain.pem;，但实际文件在别的位置）

执行 nginx -t 手动验证语法，比依赖宝塔“重载配置”按钮更可靠

最麻烦的不是申请，是证书链里哪一级缺了、什么时候被 acme.sh 自动替换掉、以及宝塔 UI 是否悄悄把换行或空格吃掉了——建议每次更新后，用 openssl x509 -in fullchain.pem -text -noout | grep "Issuer\|Subject" 看是否真包含两级证书。

Tags: 宝塔面板SSL证书安装失败 宝塔面板SSL证书配置

分享到：